信息安全与风险评估手册（执行版）.docxVIP

信息安全与风险评估手册（执行版）

第1章信息安全基础概念与核心原则

1.1信息安全的定义与范围

信息安全是指保护信息资产免受未经授权的访问、使用、披露、破坏、修改或丢失的过程，其核心在于确保信息的完整性、保密性和可用性（CIA）。范围涵盖物理环境（如服务器机房门禁）、网络架构（如防火墙策略）、数据（如数据库备份）及人员行为（如员工权限管理）。

依据ISO/IEC27000标准，范围不仅包括内部数据，还包括外部数据（如客户隐私）以及第三方协同平台的数据。现代定义已扩展至“隐私保护”，即确保个人数据在收集、处理和使用全生命周期的合法性与透明性。数据分类分级是界定范围的关键，例如将核心商业机密列为最高级，而公开新闻则列为低级，不同级别对应不同安全等级。

实际案例中，某银行将客户身份证号列为最高等数据，一旦泄露将导致巨额罚款，因此其物理访问控制比普通企业更为严苛。

1.2CIA三元组模型详解

完整性（Integrity）指信息在存储和传输过程中未被篡改，确保数据真实可靠，例如银行交易记录必须保持账实相符。保密性（Confidentiality）指信息仅对授权用户可见，防止未授权人员窥探，如银行密码必须加密存储，严禁明文留存。

可用性（Availability）指授权用户在需要时能够访问信息，通常受限于灾难恢复计划，如系统需在99.99%的可用性下运行